Müşterinin Azure CSP abonelikleri için yeniden devreye sokma yönetici ayrıcalıkları

  • Makale
  • Okumak için 5 dakika

Uygun roller: genel yönetici | Yönetim Aracısı

Bulut Çözümü Sağlayıcısı (CSP) program ortağı olarak, müşterileriniz genellikle Azure kullanımını ve sistemlerini yönetmenize olanak sağlar. Bunlara yardımcı olmak için yönetici ayrıcalıklarına sahip olmanız gerekir. Yönetici ayrıcalıklarınız yoksa, yeniden devreye sokmak için müşterinizden çalışabilirsiniz.

CSP programında Azure için yönetici ayrıcalıkları

Müşteriyle bir satıcı ilişkisi oluşturduğunuzda, bazı yönetici ayrıcalıkları otomatik olarak verilir. Müşteri tarafından sizin için diğer kullanıcılar verilmelidir. CSP 'de Azure için iki yönetim ayrıcalıkları düzeyi vardır.

  • Kiracı düzeyinde yönetici ayrıcalıkları (yani, yönetici ayrıcalıkları temsilcisi) , müşterilerinizin kiracılarına erişmenizi sağlar. Bu erişim, Kullanıcı ekleme ve yönetme, parolaları sıfırlama ve kullanıcı lisanslarını yönetme gibi yönetim işlevleri yapmanıza olanak sağlar. Müşteriler ile CSP satıcı ilişkilerini kurarken bu ayrıcalıkları alırsınız.
  • Abonelik düzeyinde yönetici ayrıcalıkları , MÜŞTERILERINIZIN Azure CSP aboneliklerine tam erişim sağlar. Bu erişim, Azure kaynaklarını sağlamanızı ve yönetmenizi sağlar. Müşterileriniz için Azure CSP abonelikleri oluştururken bu ayrıcalıkları alırsınız.

CSP yönetici ayrıcalıklarınızı yeniden devreye sokma

Yönetici ayrıcalıklarını yeniden kazanmak için müşterinizden çalışabilirsiniz.

Not

Çalışma alanları arabirimi hakkında daha fazla bilgi edinmek için bkz. Iş ortağı merkezini alma.

  1. Müşteriler ' i seçin ve ardından bir satıcı ilişkisi iste' yi seçin.

  2. bu müşteriden yönetici izinleri istemek için Azure Active Directory ve Office 365 için yetkilendirilmiş yönetim ayrıcalıklarını dahil et' i seçin. Yönetici izinleri istemeden ilişki kurmak için bu seçeneği temizleyin.

  3. Sonraki sayfada taslak e-posta iletisini gözden geçirin. Taslak iletiyi varsayılan e-posta uygulamanızda açabilir veya iletiyi panonuza kopyalayıp bir e-postaya yapıştırabilirsiniz.

    Önemli

    E-postadaki metni düzenleyebilirsiniz, ancak müşteriyi doğrudan hesabınıza bağlamak için kişiselleştirilmiş olarak Iş Ortağı Merkezi 'nde oluşturulan bağlantıyı eklediğinizden emin olun.

  4. Bu adımı tamamladığınızda bitti ' yi seçin.

  5. E-postayı yukarıdaki 3 ' ten müşterinize gönderin.

  6. Müşteriniz e-postada alındıkları bağlantıyı tıklatabilir. Bu, sizi isteğinizi kabul edebilecekleri Microsoft Yönetim merkezine götürür.

    Not

    İsteğinizi kabul edebilmek için müşterinizin kuruluşundaki kişinin, müşterinizin kiracısının genel yöneticisi olması gerekir.

  7. Müşteri davetinizi kabul ettikten sonra Iş Ortağı Merkezi ' nde müşteriler sayfasında görünürler ve servisi buradan müşteri için temin edebilir.

Satıcı ilişkisi oluştur e-posta örneği.

  1. Müşteriniz, sunulan bağlantı aracılığıyla satıcı ilişki isteğini onayladığında, AdminAgents grubunu almak için iş ortağı kiracıya bağlanın object ID .

    Connect-AzAccount -Tenant "Partner tenant"
# Get Object ID of AdminAgents group
Get-AzADGroup -DisplayName AdminAgents

  2. Müşterinizin şunları içerdiğinden emin olun:

    • Sahip veya Kullanıcı erişimi Yöneticisi rolü
    • Abonelik düzeyinde rol atamaları oluşturma izinleri

  3. Bu işlemi gerçekleştirmek için, müşterinizin PowerShell veya Azure CLı kullanarak aşağıdaki işlemleri yapması gerekir.

  4. PowerShell kullanılıyorsa, müşterinin modülü güncelleştirmesi gerekir Az.Resources .

    Update-Module Az.Resources

  5. Müşteri, CSP aboneliğinin bulunduğu kiracıya bağlanmalıdır.

    Connect-AzAccount -TenantID "<Customer tenant>"

    az login --tenant <Customer tenant>

  6. Müşterinin daha sonra aboneliğe bağlanması gerekir. Bu, yalnızca kullanıcının Kiracıdaki birden çok abonelik üzerinde rol atama izinlerine sahip olması durumunda geçerlidir.

    Set-AzContext -SubscriptionID <"CSP Subscription ID">

    az account set --subscription <CSP Subscription ID>

  7. Müşteri daha sonra rol atamasını oluşturabilir.

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName "Owner" -Scope "/subscriptions/'<CSP subscription ID>'"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>"

Abonelik düzeyinde sahip izinleri vermek yerine, bunlara kaynak grubu veya kaynak düzeyinde izin verebilirsiniz:

  • Kaynak grubu düzeyinde

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "/subscriptions/'SubscriptionID of CSP subscription'/resourceGroups/'Resource group name'"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "/subscriptions/<CSP Subscription Id>//resourceGroups/<Resource group name>"

  • Kaynak düzeyinde

    New-AzRoleAssignment -ObjectID "<Object ID of the AdminAgents group from step 4>" -RoleDefinitionName Owner -Scope "<Resource URI>"

    az role assignment create --role "Owner" --assignee-object-id <Object ID of the AdminAgents group from step 4> --scope "<Resource URI>"

Yukarıdaki adımlar işe yoksa veya bu işlemleri gerçekleştirmeye çalışırken hata alırsanız, müşterinizin yönetici haklarını yeniden devreye sokmak için aşağıdaki "catch-all" yordamını deneyin:

Install-Module -Name Az.Resources -Force -Verbose
Import-Module -Name Az.Resources -Verbose -MinimumVersion 4.1.1
Connect-AzAccount -Tenant <customer tenant>
Set-AzContext -SubscriptionId <customer subscriptions>
New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup"

Sorun giderme

Müşteri 6. adımı tamamlayamadıysanız aşağıdaki komutu önerin ve elde edilen newRoleAssignment.log dosyayı daha fazla analiz Için Microsoft 'a sağlayın:

New-AzRoleAssignment -ObjectId <principal ID> -RoleDefinitionName "Owner" -Scope "/subscriptions/<customer subscription>" -ObjectType "ForeignGroup" -Debug > newRoleAssignment.log

Sırasında "catch-all" yordamı başarısız olursa Import-Module , aşağıdaki adımları deneyin:

  • Modül kullanımda olduğundan içeri aktarma başarısız olursa, tüm pencereleri kapatıp yeniden açarak PowerShell oturumunu yeniden başlatın.
  • Sürümünü Az.Resources ile denetleyin Get-Module Az.Resources -ListAvailable .
  • 4.1.1 sürümü kullanılabilir listede değilse, kullanmanız gerekir Update-Module Az.Resources -Force .
  • Hata, Az.Accounts belirli bir sürüm olması gerektiğini belirtir, bu modülü de Az.Resources ile değiştirin Az.Accounts . Ardından PowerShell oturumunu yeniden başlatmanız gerekir.

Sonraki adımlar